Carte des Menaces Cyber 2025-2026 : Threat Landscape

Le paysage des menaces cybersécurité 2025-2026 connait une transformation sans précédent. Avec une augmentation de 67% des attaques par ransomware, l'emergence de l'IA offensive comme vecteur d'attaque a part entiere, et la sophistication croissante des groupes APT etatiques, les organisations font face a un environnement de menaces plus complexe et dynamique que jamais. Cette carte des menaces offre un panorama exhaustif des douze categories majeures de cybermenaces, cartographiees selon le framework MITRE ATT&CK, afin de fournir aux RSSI, DSI et consultants cybersécurité une vision claire et actionnable du threat landscape actuel. Des infrastructures critiques aux environnements cloud natifs, des systèmes Active Directory aux dispositifs IoT industriels, aucun perimetre n'est epargne. Ce guide détaillé pour chaque categorie les techniques d'attaque, les groupes menacants, les statistiques cles et les recommandations de defense prioritaires pour anticiper et contrer les menaces de demain.

Méthodologie et Sources d'Analyse

Cette cartographie des menaces repose sur l'analyse croisee de multiples sources de Threat Intelligence reconnues a l'echelle internationale. Notre méthodologie combine une approche quantitative — basée sur les statistiques d'incidents rapportes — et qualitative — fondee sur l'analyse des tactiques, techniques et procedures (TTP) observees sur le terrain par les équipes de réponse aux incidents.

Sources primaires

Les donnees presentees dans cet article sont issues de l'agregation et de la correlation des rapports suivants, publies entre septembre 2024 et mars 2025 :

• ENISA Threat Landscape 2024 — le rapport annuel de l'Agence europeenne pour la cybersécurité, référence pour le panorama des menaces en Europe
• ANSSI — Panorama de la cybermenace 2024 — le rapport du CERT-FR detaillant les menaces spécifiques au tissu numerique francais
• Mandiant M-Trends 2025 — analyse terrain des incidents de sécurité avec metriques de dwell time et vecteurs d'intrusion initiaux
• CrowdStrike Global Threat Report 2025 — cartographie des groupes adverses (Bears, Pandas, Kittens, Spiders) et de leurs evolutions tactiques
• Verizon DBIR 2025 — analyse statistique massive couvrant plus de 30 000 incidents de sécurité confirmes
• MITRE ATT&CK v15 — framework de référence pour la classification des techniques adverses utilise tout au long de cet article

Framework de classification : MITRE ATT&CK

Chaque categorie de menace présentée dans cet article est mappee sur les tactiques et techniques du framework MITRE ATT&CK Enterprise v15. Ce mapping permet aux équipes SOC et aux RSSI de traduire directement les menaces identifiées en regles de detection, en controles de sécurité et en scenarios de test pour les exercices de Purple Team. Les identifiants de technique (par exemple T1486 pour le chiffrement de donnees) sont références systematiquement pour faciliter cette transposition operationnelle.

Perimetre et limitations

Ce panorama couvre la periode de juillet 2024 a mars 2025, avec des projections pour le reste de l'annee 2025 et l'annee 2026. Il se concentre sur les menaces ciblant les organisations europeennes et francophones, bien que la plupart des groupes adverses operent a l'echelle mondiale. Les donnees quantitatives sont issues des incidents effectivement rapportes et analyses ; le « chiffre noir » des attaques non declarees reste par definition non quantifiable, bien que les estimations suggerent qu'il représente entre 40% et 60% du volume reel des incidents.

Taxonomie des menaces adoptee

Pour structurer cette analyse, nous avons adopte une taxonomie en douze categories de menaces, chacune correspondant a un chapitre de cet article. Cette classification s'inspire de la taxonomie ENISA tout en l'adaptant aux realites opérationnelles des organisations francophones. Chaque categorie est analysee selon quatre dimensions : les techniques d'attaque observees (mappees sur MITRE ATT&CK), les groupes de menaces actifs et leurs motivations, les statistiques d'incidents et tendances quantitatives, et les recommandations de defense prioritaires. Cette approche structuree permet aux lecteurs de naviguer directement vers les menaces les plus pertinentes pour leur contexte sectoriel et leur profil de risque.

Il est important de noter que ces categories ne sont pas mutuellement exclusives. Une attaque de ransomware peut etre initiee via une compromission supply chain, utiliser des techniques d'IA offensive pour le phishing initial, exploiter des vulnérabilites Active Directory pour le mouvement lateral, et cibler des environnements cloud et OT simultanement. Cette convergence des vecteurs de menaces rend la defense en profondeur et l'approche holistique de la sécurité plus essentielles que jamais.

Ransomware et Extortion : la Menace Dominante

Le ransomware conserve sa position de menace numéro un pour les organisations de toutes tailles et de tous secteurs en 2025-2026. Avec une augmentation de 67% des attaques par double extortion et un montant moyen de rancon atteignant 1,54 million de dollars, l'ecosysteme du ransomware s'est industrialise a un degre sans précédent. Les groupes criminels fonctionnent desormais comme de veritables entreprises, avec des programmes d'affiliation, des services client, et meme des « garanties » de recuperation des donnees apres paiement.

Evolution du modele : de la simple extortion a la triple extortion

L'evolution du ransomware suit une trajectoire claire vers une sophistication accrue des mécanismes de pression sur les victimes. Le modele initial de simple chiffrement des donnees (single extortion) a cede la place a des schemas de plus en plus complexes et devastateurs.

La double extortion, popularisee par le groupe Maze en 2019 puis generalisee par LockBit et BlackCat/ALPHV, combine le chiffrement des donnees avec leur exfiltration prealable. L'attaquant menace de publier les donnees sur un site de fuite (leak site) si la rancon n'est pas payee. Ce modele est devenu le standard de l'industrie du ransomware en 2024-2025, utilise dans plus de 82% des attaques.

La triple extortion ajoute une troisieme couche de pression : une attaque DDoS contre l'infrastructure de la victime, ou le harcelement direct des clients, partenaires ou employes dont les donnees ont ete volees. Ce modele est en forte progression, observe dans 23% des cas en 2025 contre seulement 8% en 2023.

Certains groupes pratiquent desormais une quadruple extortion en ajoutant des menaces de signalement aux regulateurs (CNIL, autorités sectorielles) ou la vente aux encheres des donnees sur le dark web. Cette tactique exploite directement les obligations reglementaires (RGPD, NIS2) comme levier de pression supplementaire.

L'ecosysteme Ransomware-as-a-Service (RaaS)

Le modele Ransomware-as-a-Service (RaaS) a profondement transforme le paysage du ransomware en abaissant considerablement la barriere technique a l'entree. Les developpeurs de ransomware fournissent une infrastructure complete a des « affilies » qui se chargent de l'intrusion initiale et du deploiement, en echange d'une commission de 20% a 40% sur les rancons collectees.

Principaux groupes ransomware actifs en 2025-2026

Groupe	Modele	Cibles principales	Rancon moyenne	Technique MITRE
LockBit 4.0	RaaS	Multi-secteurs	1,8 M$	T1486, T1490
BlackBasta	RaaS	Industrie, Sante	2,1 M$	T1486, T1048
Cl0p	Extortion pure	Supply chain (MOVEit)	3,2 M$	T1190, T1567
Play	RaaS	PME, Collectivites	0,8 M$	T1486, T1021
Akira	RaaS	Education, PME	0,6 M$	T1486, T1071
Royal/BlackSuit	RaaS	Infrastructures critiques	2,5 M$	T1486, T1562
Rhysida	RaaS	Sante, Gouvernement	1,2 M$	T1486, T1027
Hunters International	RaaS	Multi-secteurs	1,5 M$	T1486, T1059

Pour une analyse approfondie des stratégies de defense contre le ransomware, consultez notre article dedie : Ransomware 2026 : Stratégies de defense pour l'entreprise.

Ciblage des environnements de virtualisation

Une tendance majeure observee en 2025 est le ciblage systematique des hyperviseurs VMware ESXi et des environnements de virtualisation. Les groupes comme BlackBasta et Akira deploient des variants Linux/ESXi specifiquement concues pour chiffrer les machines virtuelles en masse, paralysant ainsi l'ensemble de l'infrastructure en une seule operation. Cette technique (T1486 — Data Encrypted for Impact) est particulierement devastatrice car elle contourne les solutions de sécurité deployees dans les VM invitees. Les attaquants exploitent les vulnérabilités des interfaces de gestion ESXi (CVE-2024-37085) ou les identifiants par defaut pour acceder a l'hyperviseur.

Statistiques cles du ransomware 2025

Indicateurs ransomware 2024 vs 2025

Indicateur	2024	2025	Evolution
Nombre d'attaques rapportees	4 368	7 295	+67%
Rancon moyenne demandee	924 K$	1,54 M$	+67%
Rancon mediane payee	400 K$	620 K$	+55%
Temps moyen de chiffrement	4,5 heures	2,8 heures	-38%
Taux de double extortion	71%	82%	+11 pts
Organisations payant la rancon	37%	29%	-8 pts
Temps moyen de recuperation	22 jours	24 jours	+9%

APT et Espionnage Etatique : Geopolitique du Cyberespace

Les groupes APT (Advanced Persistent Threat) sponsorises par des Etats-nations représentent la menace la plus sophistiquee et la plus persistante du paysage cyber 2025-2026. Ces acteurs disposent de ressources quasi illimitees, de chaines d'approvisionnement en zero-days, et d'objectifs strategiques qui les rendent particulierement dangereux pour les infrastructures critiques, les operateurs d'importance vitale (OIV) et les entreprises positionnees sur des secteurs geopolitiquement sensibles.

Russie : Bears dans le cyberespace

APT28 (Fancy Bear / Forest Blizzard), attribue au GRU (renseignement militaire russe), continue de cibler les institutions gouvernementales europeennes, les think tanks de politique etrangere et les organisations liees a l'OTAN. En 2024-2025, le groupe a considerablement evolue ses TTP en exploitant des vulnérabilités dans les solutions de messagerie (Microsoft Exchange, Zimbra) et les appliances VPN (Cisco ASA, Ivanti). La technique T1190 — Exploit Public-Facing Application reste leur vecteur d'acces initial privilegie.

APT29 (Cozy Bear / Midnight Blizzard), lie au SVR (renseignement exterieur russe), s'est distingue en 2024 par la compromission reussie de Microsoft Corporate via une attaque de password spraying sur un compte de test legacy. Ce groupe excelle dans les operations de longue duree (low and slow), utilisant des techniques de T1550 — Use Alternate Authentication Material et de mouvement lateral furtif via les APIs cloud (Microsoft Graph, Azure AD).

Chine : la montee en puissance de Volt Typhoon

Volt Typhoon, identifie par Microsoft et confirme par la CISA en 2024, représente un changement de paradigme dans les operations cyber chinoises. Contrairement aux groupes APT chinois traditionnels focalises sur l'espionnage economique, Volt Typhoon s'est pre-positionne dans les réseaux d'infrastructures critiques americaines et alliees (énergie, eau, transports, telecommunications) avec l'objectif probable de pouvoir perturber ces infrastructures en cas de conflit geopolitique. Ce groupe est remarquable par son utilisation exclusive de techniques Living off the Land (T1218, T1059.001), rendant la détection extremement difficile car il n'utilise aucun malware personnalise.

Salt Typhoon a ete revele fin 2024 comme ayant compromis au moins neuf operateurs de telecommunications majeurs, accedant aux systèmes d'ecoute legale (lawful intercept) et aux metadonnees d'appels de hauts responsables. Cette operation illustre le ciblage croissant du secteur des telecommunications comme pivot strategique pour l'espionnage de masse.

Coree du Nord : Lazarus et le financement du regime

Le groupe Lazarus (Hidden Cobra) et ses sous-groupes (BlueNoroff, Andariel) continuent de se distinguer par leur double mission : espionnage strategique et generation de revenus pour le regime nord-coreen. En 2024-2025, les vols de cryptomonnaies attribues a Lazarus depassent les 1,7 milliard de dollars cumules. Le groupe cible desormais les developpeurs et les projets DeFi via des campagnes de social engineering sophistiquees sur LinkedIn et GitHub, utilisant de fausses offres d'emploi pour déployer des implants (T1566.003 — Spearphishing via Service).

Mapping MITRE ATT&CK des groupes APT principaux

Cartographie MITRE ATT&CK des principaux groupes APT (2024-2025)

Groupe APT	Attribution	Acces Initial	Execution	Persistance	Evasion	Objectif
APT28	Russie/GRU	T1190, T1566	T1059.001	T1547.001	T1036	Espionnage politique
APT29	Russie/SVR	T1078, T1195	T1059.003	T1098	T1550	Espionnage strategique
Volt Typhoon	Chine/MSS	T1190	T1059.001	T1078	T1218	Pre-positionnement
Salt Typhoon	Chine/MSS	T1190	T1059	T1505	T1027	Espionnage telecom
Lazarus	Coree du Nord	T1566.003	T1204	T1543	T1140	Vol financier + espionnage
MuddyWater	Iran/MOIS	T1566.001	T1059.001	T1053	T1036	Espionnage regional
Sandworm	Russie/GRU	T1190	T1059	T1505.003	T1070	Sabotage ICS/OT

Attaques Supply Chain : le Maillon Faible du Numerique

Les attaques sur la chaine d'approvisionnement logicielle se sont imposees comme l'une des menaces les plus redoutees du paysage cyber 2025-2026. En exploitant la confiance accordee aux fournisseurs, aux bibliotheques open source et aux pipelines CI/CD, les attaquants parviennent a compromettre des milliers d'organisations en une seule operation, avec un effet multiplicateur considerable.

L'heritage de SolarWinds et la systemique du risque

L'attaque SolarWinds (2020), attribuee a APT29, a inaugure l'ere moderne des attaques supply chain d'envergure. La compromission de la mise a jour Orion a affecte plus de 18 000 organisations, dont des agences gouvernementales americaines. Cinq ans plus tard, les lecons de SolarWinds n'ont ete que partiellement integrees : selon le Verizon DBIR 2025, les attaques impliquant un tiers ont augmente de 68% par rapport a l'annee précédente, representant desormais 15% des breaches confirmees.

La compromission XZ Utils : une alerte pour l'open source

La decouverte en mars 2024 d'une backdoor dans la bibliotheque de compression XZ Utils (CVE-2024-3094) a mis en lumiere la vulnérabilité systemique de l'ecosysteme open source. Un contributeur malveillant, operant sous le pseudonyme « Jia Tan » pendant plus de deux ans, avait progressivement gagne la confiance du mainteneur principal avant d'injecter du code malveillant dans le processus de build. La backdoor, qui ciblait les serveurs OpenSSH via la liblzma, aurait pu compromettre une portion significative de l'infrastructure Internet mondiale si elle n'avait pas ete decouverte fortuitement par un ingenieur de Microsoft.

Pour une analyse détaillée des mesures de prevention contre les attaques supply chain, consultez notre guide : Supply Chain Attack 2026 : Prevention et detection.

Empoisonnement des depots de paquets

L'empoisonnement des registres de paquets (npm, PyPI, RubyGems, NuGet) connait une croissance exponentielle et représente une menace systemique pour l'ensemble de l'ecosysteme logiciel mondial. En 2024, plus de 245 000 paquets malveillants ont ete identifies et supprimes des principaux registres, soit une augmentation de 156% par rapport a 2023. Les techniques d'attaque incluent le typosquatting (publication de paquets aux noms similaires a des bibliotheques populaires), le dependency confusion (exploitation de la resolution de dependances privees/publiques) et la compromission de comptes de mainteneurs legitimes via des campagnes de phishing ciblees ou le vol de tokens d'authentification.

Attaques sur les pipelines CI/CD

Les pipelines d'integration et de déploiement continus (CI/CD) sont devenus une cible privilegiee car ils disposent de privileges eleves et constituent un point de passage oblige pour le code en production. Les attaques ciblent les tokens d'acces aux depots de code (GitHub, GitLab), les secrets stockes dans les variables d'environnement des pipelines, les runners partages, et les images de build compromises. La technique MITRE T1195.002 — Compromise Software Supply Chain couvre l'ensemble de ces vecteurs.

Typologie des attaques supply chain 2024-2025

Type d'attaque	Vecteur	Exemples recents	Impact potentiel	Detection
Compromission de build	Pipeline CI/CD	SolarWinds, Codecov	Critique — distribution massive	Signature de code, SBOM
Backdoor open source	Contribution malveillante	XZ Utils, event-stream	Critique — dependances profondes	Revue de code, audit dependances
Typosquatting	Registres de paquets	245K+ paquets malveillants	Eleve — exfiltration, RAT	Lockfiles, allow-lists
Dependency confusion	Resolution de dependances	Attaques sur npm scopes	Eleve — exécution de code	Registres prives, scoping
Compromission de fournisseur	Acces privilegie tiers	Okta, MOVEit, 3CX	Critique — acces lateral	TPRM, surveillance acces

IA Offensive et Deepfakes : la Nouvelle Frontiere

L'intelligence artificielle generative a ouvert une nouvelle dimension dans le paysage des menaces cybersécurité. Les modeles de langage (LLM), les outils de generation d'images et les synthetiseurs vocaux sont desormais exploites par les attaquants pour creer des campagnes de phishing ultra-personnalisees, des deepfakes convaincants pour le Business Email Compromise (BEC), et des outils d'automatisation des phases de reconnaissance et d'exploitation.

Phishing augmente par l'IA

Les modeles de langage permettent de générer des emails de phishing qui eliminent les marqueurs traditionnels de détection : fautes d'orthographe, tournures maladroites, incoherences contextuelles. Les attaquants utilisent l'IA pour :

• Personnaliser massivement les emails en integrant des informations contextuelles extraites des réseaux sociaux, des fuites de donnees et des sites web d'entreprise
• Adapter le ton et le style a la communication habituelle de l'expediteur usurpe, en entrainant le modele sur des echantillons de sa correspondance
• Générer du contenu multilingue de haute qualite, eliminant l'avantage historique des locuteurs natifs dans la détection du phishing
• Creer des pretextes elabores en temps reel, adaptes a l'actualite de l'entreprise cible (resultats financiers, restructurations, événements)

Pour approfondir les mécanismes de phishing avance, consultez notre article : Phishing 2026 : Spear phishing avance et defenses.

Deepfakes vocaux et video pour le BEC

Les deepfakes vocaux sont devenus suffisamment realistes pour tromper des professionnels experimentes lors d'appels telephoniques. Plusieurs cas documentes en 2024-2025 illustrent cette menace : un employe d'Arup a transfere 25 millions de dollars apres un appel video avec un deepfake de son directeur financier ; des entreprises francaises ont ete ciblees par des appels imitant la voix de leurs dirigeants pour ordonner des virements urgents. La technique nécessite desormais moins de 30 secondes d'echantillon audio pour générer un clone vocal convaincant.

IA pour la decouverte de vulnérabilités

Les modeles de langage sont également utilises pour automatiser la decouverte de vulnérabilités dans le code source et les binaires. Les outils comme les fuzzers augmentes par IA et les agents autonomes de recherche de vulnérabilités représentent une menace emergente significative. Google Project Zero a demontre qu'un agent IA pouvait decouvrir des vulnérabilités zero-day dans des logiciels reels, tandis que des chercheurs ont montre que des LLM pouvaient générer des exploits fonctionnels pour des CVE connues.

Le risque de prompt injection dans les systèmes d'IA deployes en entreprise constitue également un vecteur d'attaque a part entiere. Pour en savoir plus sur ce sujet critique, consultez notre analyse : Prompt Injection : 73% des deploiements vulnerables.

Adversarial Machine Learning

L'Adversarial Machine Learning cible les modeles d'IA deployes en defense. Les attaquants developpent des techniques pour empoisonner les donnees d'entrainement (data poisoning), générer des exemples adversariaux qui trompent les modeles de détection (evasion attacks), et extraire les paramètres des modeles proprietaires (model stealing). Le framework MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) catalogue ces techniques spécifiques a l'IA.

Menaces sur Active Directory : le Pilier Identitaire sous Attaque

Active Directory demeure le composant d'infrastructure le plus cible par les attaquants en 2025-2026. Present dans plus de 90% des environnements d'entreprise Fortune 1000, il constitue le pilier central de l'authentification et de l'autorisation, ce qui en fait la cible prioritaire de toute operation de mouvement lateral et d'elevation de privileges. Les donnees montrent que 80% des compromissions AD exploitent des misconfigurations connues et corrigeables, plutot que des vulnérabilités zero-day.

Kerberoasting et AS-REP Roasting

Le Kerberoasting (T1558.003) reste l'une des techniques les plus efficaces pour obtenir des identifiants de comptes de service dans Active Directory. L'attaquant, disposant d'un simple compte de domaine, demande des tickets de service Kerberos (TGS) pour les comptes configures avec un Service Principal Name (SPN), puis les soumet a un cracking offline. En 2025, les capacités de cracking GPU permettent de tester plus de 100 milliards de combinaisons par seconde, rendant vulnerables tous les mots de passe de complexite insuffisante.

L'AS-REP Roasting (T1558.004) cible les comptes pour lesquels la pre-authentification Kerberos est desactivee, permettant de recuperer un hash crackable sans meme disposer d'identifiants valides. Cette misconfiguration, souvent laissee en place pour des raisons de compatibilite applicative, affecte en moyenne 3 a 5% des comptes dans les environnements audites.

Pour une analyse technique complete du Kerberoasting et des defenses associees, consultez notre article détaillé : Kerberoasting Active Directory : Attaque et defense.

Golden Ticket et Silver Ticket

Les attaques Golden Ticket (T1558.001) exploitent la compromission du hash du compte KRBTGT pour forger des TGT (Ticket Granting Tickets) valides avec des privileges arbitraires. Cette technique, qui survient apres la compromission d'un controleur de domaine, offre a l'attaquant un acces persistant et quasi indetectable a l'ensemble du domaine Active Directory. La rotation reguliere du mot de passe KRBTGT (deux fois consecutives) reste la seule remediation efficace, mais elle n'est pratiquee que par 12% des organisations selon les audits recents.

Les Silver Tickets (T1558.002) permettent de forger des tickets de service pour un SPN spécifique en utilisant le hash du compte de service associe. Moins puissants que les Golden Tickets, ils sont plus difficiles a détecter car ils ne necessitent pas d'interaction avec le KDC.

Attaques sur AD Certificate Services (ADCS)

Les attaques sur Active Directory Certificate Services (ADCS) ont explose depuis la publication des recherches « Certified Pre-Owned » par SpecterOps en 2021. En 2025, les vulnérabilités ADCS (ESC1 a ESC13) sont systematiquement exploitees lors des tests d'intrusion et des attaques reelles. La misconfiguration ESC1, qui permet a un utilisateur de specifier un Subject Alternative Name (SAN) dans une demande de certificat, reste la plus repandue et la plus dangereuse : elle permet une elevation de privileges directe vers Domain Admin en quelques commandes.

Attaques d'identite hybride (Cloud + AD)

La convergence entre Active Directory on-premises et les identites cloud (Entra ID / Azure AD) cree de nouveaux vecteurs d'attaque. Les attaquants ciblent les serveurs Azure AD Connect pour extraire les identifiants de synchronisation, exploitent les Seamless SSO mal configures, et utilisent les tokens OAuth pour pivoter entre les environnements on-premises et cloud. La technique T1078.004 — Valid Accounts: Cloud Accounts est en forte progression, observee dans 34% des compromissions impliquant des environnements hybrides.

Cloud et Conteneurs : la Surface d'Attaque Elastique

L'adoption massive du cloud public et des architectures conteneurisees a considerablement elargi la surface d'attaque des organisations. En 2025, 82% des breaches impliquent des donnees stockees dans le cloud (public, prive ou multi-cloud), et les incidents lies aux environnements Kubernetes et serverless ont augmente de 89% par rapport a 2023. Les erreurs de configuration restent le premier vecteur de compromission, loin devant l'exploitation de vulnérabilités.

Attaques Kubernetes

Les environnements Kubernetes presentent une surface d'attaque complexe qui combine les risques de l'orchestration de conteneurs, de la gestion des secrets, et de l'interaction avec les APIs cloud sous-jacentes. Les principaux vecteurs d'attaque observes en 2025 incluent :

• Exposition du serveur API : les clusters dont le serveur API Kubernetes est expose sur Internet sans authentification adequate restent un vecteur courant. Les scanners automatises identifient en moyenne 380 000 serveurs API Kubernetes exposes
• Escape de conteneur : l'exploitation de vulnérabilités du runtime (runc, containerd) ou de misconfigurations (privileged: true, montage du socket Docker) pour s'echapper du conteneur vers le noeud hote
• Mouvement lateral via les Service Accounts : exploitation des tokens de service accounts Kubernetes montes automatiquement dans les pods pour pivoter vers d'autres namespaces ou le cloud provider
• Exploitation des RBAC : les configurations RBAC trop permissives (ClusterRoleBindings avec des wildcards) permettent l'elevation de privileges au sein du cluster

Pour un guide complet sur la sécurisation des environnements Kubernetes, consultez : Sécurité Kubernetes 2026 : Guide complet.

SSRF vers IMDS : le pivot cloud classique

Les attaques Server-Side Request Forgery (SSRF) ciblant les services de metadonnees d'instances cloud (IMDS) restent un vecteur d'intrusion majeur dans les environnements cloud. En exploitant une vulnérabilité SSRF dans une application web, l'attaquant peut acceder a l'endpoint de metadonnees (http://169.254.169.254) pour recuperer les identifiants IAM temporaires associes a l'instance, puis les utiliser pour pivoter vers d'autres services cloud. Cette technique (T1552.005 — Unsecured Credentials: Cloud Instance Metadata API) a ete observee dans l'attaque Capital One de 2019 et reste largement exploitable en 2025 malgre l'introduction d'IMDSv2 par AWS.

Risques des architectures serverless

Les architectures serverless (AWS Lambda, Azure Functions, Google Cloud Functions) introduisent des risques spécifiques lies a l'ephemerite des environnements d'execution, a la gestion des permissions IAM, et a l'injection d'événements. Les fonctions serverless disposent souvent de permissions excessives, creant des opportunites d'elevation de privileges. L'injection d'événements malveillants dans les queues de messages, les buckets S3 ou les streams de donnees peut declencher l'execution de code dans un contexte privilegie.

Shadow IT cloud et sprawl de ressources

Le phenomene de shadow IT cloud — la creation de ressources cloud par des équipes metiers sans controle de l'équipe sécurité — représente un risque croissant en 2025. Les developpeurs et équipes projet creent des comptes cloud, des instances de bases de donnees, des buckets de stockage et des API sans appliquer les politiques de sécurité de l'organisation. Selon les estimations, 40% des ressources cloud d'une organisation typique echappent a la visibilite de l'équipe sécurité. Ce sprawl non controle multiplie les points d'entree potentiels et cree des angles morts dans la surveillance securitaire. Les solutions CSPM (Cloud Security Posture Management) et CNAPP (Cloud-Native Application Protection Platform) permettent d'obtenir une visibilite sur l'ensemble des ressources cloud et d'appliquer automatiquement les politiques de sécurité, mais leur déploiement reste incomplet dans la majorite des organisations.

L'adoption du multi-cloud (utilisation simultanee de plusieurs fournisseurs cloud) complexifie encore la gestion de la sécurité. Chaque fournisseur dispose de son propre modele de responsabilite partagee, de ses propres services de sécurité, et de ses propres mécanismes IAM. Les équipes sécurité doivent maitriser les specificites de chaque plateforme tout en maintenant une politique de sécurité coherente et transversale. Les erreurs de configuration spécifiques a un cloud provider (par exemple, les IAM Policies AWS versus les Azure RBAC versus les GCP IAM Bindings) sont frequemment exploitees par les attaquants qui se specialisent sur un environnement cloud particulier.

Misconfigurations cloud : le risque persistant

Top 10 des misconfigurations cloud exploitees en 2025

#	Misconfiguration	Cloud(s)	Impact	Prevalence
1	Buckets/Blobs de stockage publics	AWS, Azure, GCP	Fuite de donnees	35%
2	Permissions IAM excessives	Tous	Elevation de privileges	72%
3	Security Groups trop permissifs	AWS, Azure	Exposition de services	45%
4	Logging/monitoring desactive	Tous	Absence de visibilite	41%
5	IMDSv1 encore actif	AWS	Vol d'identifiants	28%
6	Chiffrement au repos desactive	Tous	Non-conformite	23%
7	Secrets en variables d'environnement	Tous	Exposition de secrets	56%
8	Network policies Kubernetes absentes	Tous	Mouvement lateral	63%
9	Service accounts avec cles statiques	GCP	Compromission durable	38%
10	Absence de MFA sur la console	Tous	Prise de controle	19%

IoT et OT : la Convergence des Risques Physiques et Numeriques

La convergence croissante des systèmes informatiques traditionnels (IT) et des technologies opérationnelles (OT) cree de nouvelles surfaces d'attaque dans les environnements industriels, energetiques et de sante. Les menaces IoT/OT en 2025-2026 se caracterisent par leur potentiel d'impact physique : perturbation de la production industrielle, atteinte aux infrastructures critiques, et risques pour la sécurité des personnes.

Industroyer2 et l'heritage des attaques ICS

Industroyer2, decouvert en avril 2022 lors d'une tentative d'attaque contre le réseau electrique ukrainien, illustre l'evolution des malwares ciblant les systèmes de controle industriel (ICS). Attribue au groupe Sandworm (GRU), ce malware est une version simplifiee mais plus ciblee d'Industroyer/CrashOverride (2016), concue specifiquement pour interagir avec les protocoles IEC-104 utilises dans les sous-stations electriques. L'heritage de Triton/TRISIS (2017), qui ciblait les systèmes instrumentes de sécurité (SIS) Triconex de Schneider Electric, rappelle que les attaquants sont capables et disposes a cibler les systèmes de sécurité physique eux-memes.

Attaques SCADA et HMI

Les systèmes SCADA (Supervisory Control and Data Acquisition) et les interfaces homme-machine (HMI) restent des cibles privilegiees en raison de leur connectivite croissante et de leur dette technique en matière de sécurité. En 2024, un groupe hacktiviste pro-iranien a reussi a manipuler des controleurs logiques programmables (PLC) Unitronics dans plusieurs installations de traitement des eaux aux Etats-Unis, exploitant des mots de passe par defaut et l'absence de segmentation réseau. Ce type d'attaque, autrefois reserve aux acteurs etatiques les plus sophistiques, est desormais a la portee de groupes moins avances.

Les protocoles industriels (Modbus, DNP3, OPC-UA, IEC-104) restent largement depourvus de mécanismes d'authentification et de chiffrement natifs, et les solutions de sécurité réseau traditionnelles ne comprennent pas ces protocoles. La visibilite sur le trafic OT reste insuffisante dans la majorite des environnements industriels, avec seulement 24% des organisations industrielles disposant d'une solution de détection d'intrusion adaptee aux protocoles OT.

Botnets IoT et appareils connectes

L'explosion du nombre d'appareils IoT connectes (estimes a 18,8 milliards en 2025) amplifie considerablement le risque de constitution de botnets massifs. Les heritiers de Mirai continuent de proliferer, ciblant les routeurs, cameras IP, NAS, et objets connectes avec des exploits automatises et des attaques par force brute. Le botnet InfectedSlurs, identifie en 2024, exploitait deux vulnérabilités zero-day dans des routeurs et des cameras NVR pour constituer un réseau de plus de 100 000 appareils compromis, utilise pour des attaques DDoS depassant 2 Tbps.

Dispositifs medicaux connectes : un risque vital

Le secteur de la sante concentre des risques IoT particulierement critiques en raison de la proliferation des dispositifs medicaux connectes (pompes a perfusion, moniteurs cardiaques, scanners IRM, automates de laboratoire) dont les cycles de vie logiciel depassent souvent dix ans. Ces equipements fonctionnent frequemment sur des systèmes d'exploitation obsoletes (Windows XP Embedded, Windows 7), ne recoivent plus de correctifs de sécurité, et ne peuvent pas toujours etre segmentes sans impacter les flux de soins. En 2024, des chercheurs en sécurité ont demonstre la possibilite de modifier les paramètres de dosage d'une pompe a perfusion connectee a distance, illustrant le potentiel d'impact sur la vie humaine. La directive europeenne NIS2, entree en application en octobre 2024, impose desormais aux etablissements de sante de cartographier l'ensemble de leurs dispositifs connectes et de mettre en place des mesures de sécurisation proportionnees au risque.

Sécurité des réseaux 5G et des objets connectes industriels

Le déploiement des réseaux 5G privees dans les environnements industriels (campus networks) cree de nouvelles opportunites mais également de nouveaux vecteurs d'attaque. Les réseaux 5G prives sont utilises pour connecter des capteurs industriels, des robots autonomes et des systèmes de controle en temps reel, avec des exigences de latence et de fiabilite critiques. Les attaques potentielles incluent l'interception du trafic de signalisation (protocole GTP), l'usurpation de stations de base (rogue base stations), et l'exploitation de vulnérabilités dans les fonctions de réseau virtualise (VNF) qui composent le coeur du réseau 5G. La surface d'attaque est amplifiee par l'utilisation de composants open source dans les implementations 5G (Open RAN) et par la complexite des interactions entre les couches radio, transport et application.

Recommandations spécifiques pour la sécurité IoT/OT

La protection des environnements IoT/OT nécessite une approche differenciee de celle des systèmes IT traditionnels. Les recommandations prioritaires incluent le déploiement d'une solution de decouverte et de surveillance des actifs OT (Claroty, Nozomi Networks, Dragos, Microsoft Defender for IoT) pour obtenir une visibilite complete sur l'ensemble des dispositifs connectes, la mise en place d'une segmentation réseau stricte conforme au modele Purdue, la surveillance passive du trafic réseau OT pour détecter les anomalies protocolaires, et la creation de procedures de réponse aux incidents spécifiques aux environnements industriels. Le standard IEC 62443, qui definit les niveaux de sécurité pour les systèmes d'automatisation industrielle, constitue le cadre de référence pour la sécurisation des environnements OT.

Insider Threats : le Risque Interne Amplifie

Les menaces internes (insider threats) restent l'un des risques les plus difficiles a détecter et a prevenir. En 2025, le cout moyen d'un incident lie a un insider atteint 16,2 millions de dollars par organisation, et le temps moyen de détection est de 85 jours — soit pres de trois mois pendant lesquels l'acteur interne malveillant ou compromis peut exfiltrer des donnees, saboter des systèmes ou preparer le terrain pour des attaques ulterieures.

Typologie des insiders

Les menaces internes se declinent en plusieurs categories distinctes, chacune necessitant des approches de détection et de prevention spécifiques :

• Insider malveillant : employe, sous-traitant ou partenaire qui exploite intentionnellement son acces legitime pour des motifs financiers, ideologiques ou de vengeance. Represente 25% des incidents internes
• Insider compromis : utilisateur dont les identifiants ont ete voles (phishing, credential stuffing, malware) et qui est utilise comme pivot par un attaquant externe. Represente 56% des incidents, en forte hausse avec le phishing IA
• Insider negligent : utilisateur qui, par meconnaissance ou imprudence, provoque un incident de sécurité (envoi de donnees sensibles par email, misconfiguration, clic sur un lien malveillant). Represente 19% des incidents

Teletravail et risques associes

La generalisation du travail a distance et hybride depuis 2020 a considerablement amplifie le risque d'insider threat. Les employes travaillant depuis des environnements domestiques ou des espaces de coworking sont exposes a des risques accrus : réseaux Wi-Fi non securises, partage d'appareils familiaux, absence de surveillance physique, et utilisation de shadow IT. Les solutions de Data Loss Prevention (DLP) traditionnelles, concues pour un perimetre réseau d'entreprise, sont largement inefficaces dans un contexte de travail distribue ou les donnees transitent entre le cloud, les VPN, et les appareils personnels.

Exfiltration de donnees : patterns et detection

Les techniques d'exfiltration de donnees par les insiders ont considerablement evolue pour contourner les solutions de surveillance. Les patterns observes en 2024-2025 incluent : l'utilisation de services de stockage cloud personnels (Google Drive, Dropbox), le transfert de donnees via des applications de messagerie chiffree (Signal, Telegram), l'impression de documents suivie de numerisation sur un appareil personnel, la copie sur des supports amovibles lors de periodes de faible surveillance, et l'utilisation de steganographie pour dissimuler des donnees dans des fichiers anodins. La technique MITRE T1048 — Exfiltration Over Alternative Protocol couvre plusieurs de ces vecteurs.

Stratégies de détection des menaces internes

La détection efficace des insiders repose sur une combinaison de controles techniques et organisationnels. Les solutions de User and Entity Behavior Analytics (UEBA) analysent les patterns d'utilisation de chaque employe pour etablir une baseline comportementale et détecter les anomalies : acces a des ressources inhabituelles, telechargements massifs, connexions a des heures atypiques, ou utilisation de périphériques non autorises. L'integration des donnees RH (departs annonces, evaluations negatives, conflits) avec les donnees de sécurité ameliore significativement la precision de la detection.

Les programmes de gestion des menaces internes (Insider Threat Program — ITP) les plus matures combinent formation de sensibilisation, controles d'acces granulaires (principe du moindre privilege), surveillance des activites sensibles (acces aux donnees classifiees, modifications de configuration), et un processus de signalement protege pour les employes temoins de comportements suspects. La directive NIS2 et le reglement DORA renforcent les obligations des organisations en matière de gestion des risques internes.

Attaques sur la Chaine d'Identite : Contourner les Defenses Modernes

Les attaques sur la chaine d'identite représentent une evolution majeure du paysage des menaces en 2025-2026. Face au déploiement croissant de l'authentification multifacteur (MFA) et des solutions Zero Trust, les attaquants ont developpe des techniques sophistiquees pour contourner ces defenses en ciblant les mécanismes d'authentification eux-memes plutot que les identifiants statiques.

MFA Fatigue et MFA Bypass

La technique de MFA Fatigue (ou « MFA bombing ») consiste a bombarder la cible de notifications push MFA jusqu'a ce qu'elle accepte par lassitude ou confusion. Cette technique, rendue celebre par l'attaque contre Uber en 2022 (attribuee au groupe Lapsus$), reste efficace en 2025 malgre l'introduction de fonctionnalites anti-fatigue (number matching, context display) par les principaux fournisseurs MFA. Les variantes incluent l'accompagnement des notifications par des messages de social engineering via SMS ou applications de messagerie, pretendant etre le support IT.

Au-dela de la fatigue, les attaquants ciblent les implementations MFA vulnerables : bypass par manipulation de réponse (response tampering), exploitation de codes de recuperation stockes de maniere non securisee, et attaques sur les flux d'enregistrement MFA.

Adversary-in-the-Middle (AiTM) et phishing de tokens

Les attaques Adversary-in-the-Middle (AiTM), mises en oeuvre par des kits de phishing comme Evilginx2, Modlishka et Muraena, sont devenues le vecteur principal de contournement du MFA. L'attaquant interpose un proxy transparent entre la victime et le site legitime, capturant en temps reel les cookies de session et les tokens d'authentification apres que la victime a complete l'ensemble du processus d'authentification, y compris le MFA. Cette technique (T1557 — Adversary-in-the-Middle) rend inoperant tout MFA non resistant au phishing (SMS, TOTP, push notification).

Seules les méthodes d'authentification resistantes au phishing, telles que FIDO2/WebAuthn (cles physiques YubiKey, Windows Hello for Business, Passkeys), offrent une protection efficace contre les attaques AiTM, car elles lient cryptographiquement l'authentification au domaine du site legitime.

Session Hijacking et Token Theft

Le vol de tokens de session (T1539 — Steal Web Session Cookie) est devenu un objectif prioritaire pour les attaquants, car il permet de contourner complètement l'authentification (y compris le MFA) en reutilisant une session deja authentifiee. Les vecteurs incluent les infostealers (RedLine, Raccoon, Lumma) qui extraient les cookies de session des navigateurs, les attaques XSS ciblant les tokens stockes cote client, et l'exploitation de vulnérabilités dans la gestion des sessions applicatives.

OAuth Phishing et Consent Grant Attacks

Les attaques de phishing OAuth exploitent les flux d'autorisation OAuth 2.0 pour obtenir un acces persistant aux ressources d'un utilisateur sans jamais obtenir ses identifiants. L'attaquant enregistre une application malveillante dans un tenant cloud et envoie un lien d'autorisation a la victime, qui consent a accorder les permissions demandees (lecture d'emails, acces aux fichiers, envoi de messages). Une fois le consentement accorde, l'attaquant dispose d'un token d'acces persistant qui survit au changement de mot de passe et au renouvellement du MFA. Microsoft rapporte une augmentation de 178% de ces attaques en 2024.

Cartographie des Threat Actors : les 20 Groupes les Plus Actifs

La cartographie des groupes de menaces actifs en 2025-2026 revele un écosystème diversifie, allant des APT etatiques aux operateurs de ransomware, en passant par les hacktivistes et les courtiers d'acces initiaux (Initial Access Brokers). Le tableau ci-dessous présente les vingt groupes les plus significatifs par leur impact, leur sophistication et leur frequence d'activite observee.

Top 20 des groupes de menaces actifs en 2025-2026

#	Groupe	Alias	Attribution	Type	Tactiques principales	Cibles prioritaires
1	APT29	Cozy Bear, Midnight Blizzard	Russie (SVR)	APT	Supply chain, Cloud abuse, T1195	Gouvernements, Tech, Diplomatie
2	APT28	Fancy Bear, Forest Blizzard	Russie (GRU)	APT	Spearphishing, Exploit 0-day, T1190	OTAN, Gouvernements EU, Defense
3	Volt Typhoon	Bronze Silhouette	Chine (MSS)	APT	LotL, T1218, Pre-positionnement	Infrastructures critiques US/EU
4	Salt Typhoon	GhostEmperor	Chine (MSS)	APT	Exploit telecom, T1190	Operateurs telecoms
5	Lazarus	Hidden Cobra, Diamond Sleet	Coree du Nord	APT	Social engineering, T1566.003	Crypto, Finance, Defense
6	Sandworm	Voodoo Bear, Seashell Blizzard	Russie (GRU)	APT/Sabotage	ICS/OT attacks, T1499, wipers	Énergie, Infrastructures Ukraine
7	LockBit 4.0	—	Russophone	Ransomware	RaaS, double extortion, T1486	Multi-secteurs global
8	BlackBasta	—	Ex-Conti	Ransomware	RaaS, ESXi targeting, T1486	Industrie, Sante
9	Cl0p	TA505	Russophone	Extortion	Exploit 0-day supply chain, T1190	Supply chain (MOVEit, GoAnywhere)
10	Scattered Spider	UNC3944, Octo Tempest	US/UK (jeunes)	Cybercriminel	Social eng. helpdesk, SIM swap	Telecom, Hospitality, Tech
11	MuddyWater	Mercury, Mango Sandstorm	Iran (MOIS)	APT	Spearphishing, RMM tools	Moyen-Orient, Gouvernements
12	Charming Kitten	APT35, Mint Sandstorm	Iran (IRGC)	APT	Credential harvesting, T1078	Dissidents, Academique, Medias
13	Akira	—	Russophone	Ransomware	RaaS, VPN exploit, T1486	PME, Education
14	Play	PlayCrypt	Inconnu	Ransomware	RaaS, AD exploit, T1486	PME, Collectivites
15	Rhysida	—	Inconnu	Ransomware	RaaS, T1486	Sante, Gouvernement
16	FIN7	Carbanak, Carbon Spider	Russophone	Cybercriminel	Malware, T1059, IAB	Retail, Hospitality
17	Turla	Snake, Venomous Bear	Russie (FSB)	APT	Watering hole, T1189, implants	Gouvernements, Defense
18	Kimsuky	Velvet Chollima, Emerald Sleet	Coree du Nord	APT	Spearphishing, credential theft	Think tanks, Nucleaire, Defense
19	BlackCat/ALPHV	—	Russophone	Ransomware	RaaS Rust, cross-platform, T1486	Sante, Infrastructures critiques
20	Hunters Int.	—	Ex-Hive	Ransomware	RaaS, data extortion	Multi-secteurs

Indicateurs Cles et Statistiques : le Threat Landscape en Chiffres

Cette section présente les indicateurs quantitatifs essentiels pour comprendre l'ampleur et l'evolution du threat landscape 2025-2026. Ces donnees, issues de l'agregation des rapports d'incidents et des etudes de marche, permettent aux RSSI de contextualiser les risques et de justifier les investissements de sécurité aupres de leur direction.

Cout des incidents de sécurité

Couts moyens par type d'incident (2025, en millions USD)

Type d'incident	Cout moyen	Cout median	Temps de recuperation	Evolution vs 2024
Data breach (global)	4,88 M$	3,2 M$	277 jours	+10%
Ransomware	5,13 M$	2,8 M$	24 jours	+15%
Compromission BEC	4,67 M$	1,5 M$	45 jours	+22%
Insider threat	16,2 M$	8,4 M$	85 jours	+12%
Supply chain attack	4,76 M$	2,1 M$	292 jours	+18%
Incident cloud	5,17 M$	3,0 M$	258 jours	+13%

Metriques de détection et de reponse

Metriques SOC et réponse aux incidents 2025

Metrique	Valeur 2025	Valeur 2024	Tendance
Dwell time moyen (global)	10 jours	16 jours	Amelioration
Dwell time moyen (ransomware)	5 jours	9 jours	Amelioration
Dwell time moyen (espionnage)	34 jours	42 jours	Amelioration
% détection interne	54%	46%	Amelioration
% détection par tiers	27%	31%	Amelioration
% détection par attaquant (notification rancon)	19%	23%	Amelioration
MTTR (Mean Time to Respond)	62 heures	78 heures	Amelioration

Distribution sectorielle des attaques

Repartition des incidents par secteur d'activite 2025

Secteur	% des incidents	Type de menace principal	Evolution
Sante	17%	Ransomware	+4 pts
Finance et Assurance	14%	APT, Fraude	Stable
Industrie / Manufacturing	13%	Ransomware, OT	+2 pts
Gouvernement / Public	12%	APT, Hacktivisme	Stable
Education	9%	Ransomware	+3 pts
Technologies	8%	Supply chain, APT	+1 pt
Énergie et Utilities	7%	APT, OT/ICS	+2 pts
Retail / Commerce	6%	Ransomware, Magecart	-1 pt
Telecommunications	5%	APT etatique	+2 pts
Transport et Logistique	4%	Ransomware	+1 pt
Autres	5%	Divers	—

Vecteurs d'acces initial les plus exploites

Top 10 des vecteurs d'acces initial observes en 2025

#	Vecteur	Technique MITRE	% des incidents
1	Exploitation de vulnérabilités (applications exposees)	T1190	32%
2	Identifiants voles / compromis	T1078	28%
3	Phishing (email + liens)	T1566	18%
4	Supply chain compromise	T1195	8%
5	Services exposes (RDP, VNC, SSH)	T1133	5%
6	Drive-by compromise	T1189	3%
7	Acces physique / insider	T1200	2%
8	Medias amovibles (USB)	T1091	1,5%
9	Abus de confiance (tiers compromis)	T1199	1,5%
10	Exploitation de relation fournisseur	T1195.002	1%

Evolution des budgets cybersécurité

Face a l'intensification des menaces, les organisations augmentent significativement leurs investissements en cybersécurité. Le budget moyen de sécurité informatique représente desormais 11,6% du budget IT total (contre 9,9% en 2023), avec une croissance particulierement forte dans les secteurs les plus cibles : sante (+24%), education (+18%), et collectivites territoriales (+15%). Les postes de depense en plus forte croissance sont l'ITDR (Identity Threat Detection and Response), les solutions XDR/MDR, et la formation a la sensibilisation aux menaces IA. Cependant, 62% des RSSI estiment que leur budget reste insuffisant face au niveau de menace actuel, et la penurie de talents en cybersécurité — estimee a 3,4 millions de postes non pourvus mondialement — constitue un facteur limitant majeur.

Recommandations RSSI : 20 Actions Prioritaires pour 2026

Face a la complexite croissante du threat landscape 2025-2026, les RSSI doivent prioriser leurs investissements et actions de sécurité en fonction de l'impact reel des menaces. Les vingt recommandations suivantes sont classees par ordre de priorite et de retour sur investissement securitaire, basées sur l'analyse des vecteurs d'attaque les plus exploites et des controles les plus efficaces pour les contrer.

Priorite Critique — Actions immediates

1. Deployer une authentification MFA resistante au phishing (FIDO2/Passkeys) — Les attaques AiTM rendant le MFA classique (SMS, TOTP, push) contournable, migrer vers FIDO2/WebAuthn pour les comptes critiques (admins, VIP, comptes de service cloud). Cible : 100% des comptes Tier 0 et Tier 1 en FIDO2 d'ici Q2 2026.
2. Durcir Active Directory et déployer ITDR — Implementer un modele de tiering (Tier 0/1/2), déployer des gMSA pour eliminer le Kerberoasting, auditer et corriger les misconfigurations ADCS, et mettre en place une solution ITDR (Identity Threat Detection and Response) pour détecter les attaques d'identite en temps reel.
3. Maintenir un programme de gestion des vulnérabilités axe sur les risques — Prioriser le patching des vulnérabilités activement exploitees (KEV CISA) sur les assets exposes a Internet. L'exploitation de vulnérabilités connues reste le vecteur d'acces initial n1 (32%).
4. Securiser les sauvegardes contre le ransomware — Implementer la regle 3-2-1-1-0 (3 copies, 2 medias, 1 hors site, 1 offline/immuable, 0 erreur de restauration). Tester la restauration trimestriellement. Les sauvegardes sont ciblees dans 94% des attaques ransomware.
5. Segmenter les réseaux IT/OT — Deployer une DMZ industrielle conforme au modele Purdue/IEC 62443 entre les réseaux IT et OT. Aucun flux direct entre le réseau bureautique et les systèmes de controle industriel.

Priorite Haute — Actions a planifier sous 3 mois

6. Implementer une architecture Zero Trust — Adopter le principe « never trust, always verify » avec verification continue de l'identite, du contexte et de la posture de l'appareil pour chaque acces aux ressources. Commencer par les applications critiques et les acces distants.
7. Renforcer la sécurité de la supply chain logicielle — Générer et maintenir des SBOM (Software Bill of Materials) pour toutes les applications, scanner les dependances en continu, et signer numeriquement les artefacts de build. Deployer des controles d'intégrité sur les pipelines CI/CD.
8. Deployer un SOC avec capacité de Threat Hunting — Au-dela de la détection reactive, developper une capacité de threat hunting proactif basée sur les renseignements de menace (CTI) et les hypotheses de compromission. Former l'équipe SOC aux techniques MITRE ATT&CK des groupes adverses pertinents pour votre secteur.
9. Securiser les environnements cloud et Kubernetes — Deployer CSPM (Cloud Security Posture Management), CWPP, et controles d'admission Kubernetes. Appliquer le principe du moindre privilege pour les identites cloud (IAM). Migrer vers IMDSv2. Chiffrer les donnees au repos et en transit.
10. Former les équipes aux menaces IA — Sensibiliser les employes aux deepfakes, au phishing IA et aux tentatives de social engineering augmente. Mettre a jour les procedures de validation des virements et des demandes sensibles pour inclure une verification hors bande obligatoire.

Priorite Elevee — Actions a planifier sous 6 mois

11. Restreindre et surveiller les consentements OAuth — Bloquer les consentements utilisateur pour les applications non pre-approuvees. Auditer les applications existantes et revoquer les consentements excessifs. Surveiller les nouveaux enregistrements d'applications dans Entra ID.
12. Implementer la Continuous Access Evaluation (CAE) — Activer l'evaluation continue des acces pour revoquer les sessions en temps reel en cas de changement de risque (localisation anormale, appareil non conforme, identifiants compromis detectes).
13. Durcir les hyperviseurs et l'infrastructure de virtualisation — Isoler les interfaces de gestion ESXi/vCenter sur un réseau dedie, appliquer les correctifs de sécurité en priorite, et desactiver les services non utilises. Les ransomwares ESXi sont en forte progression.
14. Deployer une solution EDR/XDR sur l'ensemble du parc — Assurer une couverture EDR de 100% incluant les serveurs Linux, les conteneurs et les environnements cloud. Les solutions XDR offrent une correlation cross-layer essentielle pour détecter les attaques sophistiquees.
15. Tester la resilience avec des exercices Purple Team — Organiser des exercices de simulation trimestriels combinant Red Team (simulation d'attaque) et Blue Team (detection et reponse) pour valider l'efficacite des controles de sécurité contre les TTP des groupes adverses pertinents.

Priorite Standard — Actions a planifier sous 12 mois

16. Mettre en place un programme de gestion des risques tiers (TPRM) — Evaluer la posture de sécurité des fournisseurs critiques, inclure des clauses de sécurité dans les contrats, et surveiller en continu les risques lies a la chaine d'approvisionnement.
17. Deployer une solution DLP adaptee au travail hybride — Mettre a jour les politiques de prevention de fuite de donnees pour couvrir les flux cloud-to-cloud, les applications SaaS, et les appareils personnels. Integrer avec la solution CASB pour une visibilite complete.
18. Implementer la microsegmentation réseau — Au-dela de la segmentation traditionnelle, déployer la microsegmentation pour limiter le mouvement lateral a l'interieur de chaque zone de sécurité, notamment dans les environnements cloud et conteneurises.
19. Developper et tester un plan de réponse aux incidents — Maintenir un playbook de réponse aux incidents couvrant les scenarios prioritaires (ransomware, compromission AD, data breach, attaque supply chain). Tester le plan trimestriellement avec des exercices de table-top et annuellement avec une simulation complete.
20. Integrer la Threat Intelligence dans les processus de decision — Alimenter les processus de gestion des vulnérabilités, de threat hunting et de réponse aux incidents avec du renseignement de menace contextualise pour votre secteur et votre geographie. Participer aux ISAC et CERT sectoriels pour mutualiser les renseignements.

Questions Frequentes sur le Threat Landscape 2025-2026

Cadre Reglementaire et Obligations 2025-2026

Le paysage reglementaire en matière de cybersécurité connait une evolution majeure en 2025-2026, avec l'entree en vigueur de plusieurs textes structurants qui imposent de nouvelles obligations aux organisations. La directive europeenne NIS2 (Network and Information Security), transposee en droit national des Etats membres depuis octobre 2024, elargit considerablement le perimetre des entites regulees (de 10 000 a plus de 160 000 organisations en Europe) et impose des mesures de gestion des risques, de notification des incidents (sous 24 heures pour une alerte precoce, 72 heures pour un rapport complet), et de sécurisation de la chaine d'approvisionnement. Les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Le reglement DORA (Digital Operational Resilience Act), applicable au secteur financier depuis janvier 2025, impose des exigences spécifiques en matière de tests de resilience numerique, de gestion des risques lies aux prestataires TIC, et de partage d'informations sur les menaces. Les entites financieres doivent realiser des tests de penetration avances (TLPT — Threat-Led Penetration Testing) bases sur des scenarios de menaces reelles, au moins tous les trois ans.

Le Cyber Resilience Act (CRA) europeen, qui entrera en application progressive a partir de 2026, imposera aux fabricants de produits comportant des éléments numeriques (logiciels, dispositifs IoT, equipements industriels connectes) de garantir un niveau de sécurité minimal tout au long du cycle de vie du produit, incluant la gestion des vulnérabilités et la fourniture de mises a jour de sécurité. Ce reglement aura un impact significatif sur les fabricants IoT et les editeurs de logiciels, qui devront demontrer la conformité de leurs produits via des evaluations de conformité et un marquage CE.

En France, l'ANSSI continue de renforcer son role de regulateur et d'accompagnateur, avec la mise a jour du referentiel de sécurité des systèmes d'information des operateurs d'importance vitale (OIV) et la certification SecNumCloud pour les services cloud de confiance. Les RSSI doivent integrer ces evolutions reglementaires dans leur feuille de route de sécurité et s'assurer que leurs programmes de conformité couvrent l'ensemble des obligations applicables a leur secteur d'activite.

Conclusion : Anticiper pour Mieux Defendre

Le threat landscape 2025-2026 se caracterise par une convergence de menaces sophistiquees, industrialisees et de plus en plus alimentees par l'intelligence artificielle. Les douze categories de menaces analysees dans cette cartographie montrent que les attaquants exploitent simultanement la complexite croissante des infrastructures (cloud, conteneurs, hybride), les faiblesses structurelles des systèmes d'identite (Active Directory, MFA), et la confiance accordee aux chaines d'approvisionnement logicielles et humaines.

Plusieurs tendances de fond se degagent pour les mois a venir. Le ransomware continuera de se sophistiquer, avec une adoption croissante de l'IA pour personnaliser les attaques et accelerer le chiffrement. Les APT etatiques — particulierement les groupes chinois comme Volt Typhoon — intensifieront leur pre-positionnement dans les infrastructures critiques occidentales, creant un risque latent de sabotage en cas d'escalade geopolitique. L'IA offensive atteindra un point d'inflexion ou les deepfakes et le phishing genere par IA deviendront indiscernables de communications legitimes sans outils de détection specialises. Les attaques sur la chaine d'identite se multiplieront a mesure que les organisations deploient le MFA, poussant les attaquants vers des techniques de contournement de plus en plus elaborees.

Face a ces menaces, la posture defensive doit evoluer vers un modele proactif, continu et adaptatif. Les organisations qui investiront dans les fondamentaux — authentification forte, durcissement des identites, sauvegardes resilientes, visibilite SOC, et formation des équipes — seront les mieux positionnees pour resister aux menaces de 2026 et au-dela. Le framework MITRE ATT&CK, utilise tout au long de cet article, offre le langage commun nécessaire pour traduire ces menaces en controles de sécurité opérationnels et en metriques de couverture mesurables.

La cybersécurité n'est pas une destination mais un processus continu d'adaptation. Les RSSI doivent adopter une approche de gestion des risques dynamique, alimentee par le renseignement de menace et validee par des tests reguliers, pour maintenir un niveau de protection proportionne a l'evolution rapide du paysage des menaces. L'investissement dans la détection et la réponse — plutot que dans la seule prevention — est desormais indispensable dans un environnement ou la question n'est plus « si » mais « quand » une compromission surviendra.

La cooperation entre organisations — via les ISAC sectoriels, les CERT nationaux comme le CERT-FR de l'ANSSI, et les plateformes de partage de renseignements de menace — constitue un levier essentiel pour amplifier l'efficacite des defenses individuelles. Le partage d'indicateurs de compromission (IOC), de regles de détection et de retours d'experience sur les incidents permet a chaque organisation de beneficier de l'intelligence collective et de se premunir contre des menaces deja observees chez ses pairs. Dans un paysage ou les attaquants mutualisent leurs ressources et partagent leurs outils via les modeles as-a-Service, les defenseurs doivent adopter une logique similaire de collaboration et de mutualisation pour retablir l'equilibre.